Vulnérabilité critique dans certains fichiers SWF pré-générés
Sunday, 30. December 2007, 16:21:52
Adobe a confirmé il y a quelques jours un défaut de sécurité affectant de nombreux fichiers Flash (.swf) pré-générés par des logiciels tels que Dreamweaver CS3 ou Adobe Acrobat Connect.
Mais pas seulement, puisqu'un grand nombre de programme présents sur le web permettent de créer des animations Flash très simplement en s'occupant d'en auto-générer une partie.
Cette vulnérabilité permet l'injection de code dans une animation légitime publiée sur un site tout aussi légitime.
Ce code malveillant pourrait alors exécuter des attaques par Cross-site scripting qui permettent de recueillir des informations tirées d'un autre site ouvert (un site bancaire par exemple) par l'internaute victime du fichier swf piégé.
Aucun correctif n'est pour le moment disponible mais l'éditeur assure qu'il fournira en Janvier prochain une mise à jour pour ses propres logiciels créant des fichiers vulnérables et peu après une pour son lecteur Flash qui rendra inopérantes ces attaques.
En attendant les webmasters et développeurs tirant parti d'animation flash sur leurs sites peuvent utiliser cet outil pour vérifier si elles sont correctement construites et donc protégées contre une injection de code malveillant.
Adobe ne précise aucune façon pour les utilisateurs finaux de se protéger contre une éventuelle attaque, il convient donc de ne pas visiter de site renfermant des informations confidentielles en même temps qu'une page contenant une animation Flash.
Consulter le bulletin de sécurité d'Adobe
Édit au 17/01/08 : Adobe a publié un correctif pour ses logiciels Dreamweaver et Connect. Une mise à jour du Flash Player devrait, elle, voir le jour dans peu de temps.
Mais pas seulement, puisqu'un grand nombre de programme présents sur le web permettent de créer des animations Flash très simplement en s'occupant d'en auto-générer une partie.
Cette vulnérabilité permet l'injection de code dans une animation légitime publiée sur un site tout aussi légitime.
Ce code malveillant pourrait alors exécuter des attaques par Cross-site scripting qui permettent de recueillir des informations tirées d'un autre site ouvert (un site bancaire par exemple) par l'internaute victime du fichier swf piégé.
Aucun correctif n'est pour le moment disponible mais l'éditeur assure qu'il fournira en Janvier prochain une mise à jour pour ses propres logiciels créant des fichiers vulnérables et peu après une pour son lecteur Flash qui rendra inopérantes ces attaques.
En attendant les webmasters et développeurs tirant parti d'animation flash sur leurs sites peuvent utiliser cet outil pour vérifier si elles sont correctement construites et donc protégées contre une injection de code malveillant.
Adobe ne précise aucune façon pour les utilisateurs finaux de se protéger contre une éventuelle attaque, il convient donc de ne pas visiter de site renfermant des informations confidentielles en même temps qu'une page contenant une animation Flash.
Consulter le bulletin de sécurité d'Adobe
Édit au 17/01/08 : Adobe a publié un correctif pour ses logiciels Dreamweaver et Connect. Une mise à jour du Flash Player devrait, elle, voir le jour dans peu de temps.
(55%)
WIDGETIZE